공공 부문 보안: 최신 SIEM 구현 시 고려해야 할 4가지 사항

공공 부문 조직의 경우, 보안이 최우선입니다. 데이터와 시스템의 보안을 유지하는 가장 좋은 방법 중 하나는 최신 SIEM 플랫폼을 사용하는 것입니다. 이 플랫폼은 많은 정부 기관과 교육 기관에서 제로 트러스트 사이버 보안 아키텍처의 중요한 부분으로 사용하고 있습니다.

SIEM 기술과 전략은 끊임없이 변화하고 있으며, 최신 업데이트와 요구사항을 충족하는 것은 어려울 수 있습니다. SIEM을 처음 사용하는 경우이든, 현재 SIEM을 확장하려는 경우이든, 공공 부문에서 염두에 두어야 할 몇 가지 고려 사항이 있습니다.

기본으로 돌아가기: SIEM이란 무엇인가?

아직 이 개념에 대해 익숙하지 않은 분들을 위해 소개드리자면, SIEM, 즉 보안 정보 및 이벤트 관리는 여러 소스의 데이터를 전체적으로 살펴보고, 문제를 탐지하고, 조치를 취하는 보안 관리 시스템입니다. SIEM 기술은 SIM(보안 정보 관리)과 SEM(보안 이벤트 관리)을 결합한 것으로, 그 기능의 중심에 로깅이 있습니다.

조직의 규모와 범위에 따라, 이미 SIEM을 갖추고 있거나, SIEM을 갖추고 있는데 재평가가 필요할 수 있습니다. 전 세계 공공 부문 조직의 47%가 SIEM을 교체하거나 확장할 것이라고 말하고 있습니다.

FedTech Magazine에 따르면, NIST 지침과 업데이트된 로깅 요구사항으로 인해 고급 SIEM 기술의 채택이 미국 연방 기관 전반에서 증가하고 있습니다. 영국에서는, SIEM 기능이 매우 중요하기 때문에 국가 사이버 보안 센터(NCSC)는 SIEM을 갖추기 전부터 조직이 사이버 보안 목적으로 기본 로깅 기능을 설정할 수 있는 방법에 대한 지침을 게시했으며, "사이버 공격자를 탐지하고 잡으려면 로깅이 중요하다"고 언급했습니다.

SIEM이 현재 공공 부문에서 중요한 이유 

사이버 위협은 증가하고 있으며 점점 더 표적이 되고 있습니다. Cybercrime Magazine에 따르면, 사이버 범죄는 2025년까지 매년 15%씩 증가할 것으로 예상됩니다. 또한 데이터 침해로 인한 전 세계 평균 비용은 435만 달러이며, 미국의 경우 944만 달러로 더 높습니다. 공공 부문은 건강 기록, 주민 신분증 등과 같은 매우 민감한 데이터를 사용하기 때문에 계속해서 사이버 범죄의 표적이 되고 있습니다. 전 세계적으로 교육 부문이 사이버 공격을 가장 많이 겪고 있으며, 그 다음이 정부입니다.

데이터는 증가하고 SIEM은 확장할 수 있습니다. 오늘날, 데이터 관련 대화가 "페타바이트"라는 단어에 초점을 맞추는 것은 드문 일이 아닙니다. 데이터 사용량이 분명히 곧 줄어들지는 않을 것입니다. SIEM 기술은 모든 소스에서 이러한 모든 정보를 수집하여 IT 팀이 조직에 침투하거나 구성원에게 영향을 미치기 전에 실시간으로 이상 징후를 발견하고 위협을 사전에 차단할 수 있도록 지원합니다. 또한 데이터는 정형 데이터와 비정형 데이터와 같이 여러 형태로 제공되기 때문에 두 가지 유형을 신속하게 선별할 수 있는 SIEM은 매우 가치가 있습니다.

SIEM은 IT 및 보안 팀을 위한 도구를 간소화합니다. 공공 부문 팀은 IT 및 보안 인재를 놓고 민간 부문 조직과 경쟁하고 있으며 부족한 경우가 많습니다. 리소스가 부족한 팀은 자체적으로 조사하기에는 데이터가 너무 많기 때문에 단일 보기에서 집계할 수 있는 기능과 함께 규모에 맞는 자동화 및 데이터 통합이 절대적으로 필요합니다. 또한 클라우드 기반 솔루션은 이전에는 온프레미스 솔루션을 위한 리소스가 없었을 수도 있는 소규모 기관 및 조직의 경제적인 역량 내에서 SIEM 도구를 갖출 수 있도록 지원합니다.

SIEM은 팀이 중요 업무를 위한 결정을 신속하게 내릴 수 있도록 지원합니다. 단일 통합 에이전트를 통해 호스트 가시성을 높이고, 랜섬웨어 및 Malware를 차단하고, 검사를 간소화하고, 원격 대응 작업을 호출할 수 있습니다. 이는 매초가 중요하고 데이터가 전쟁터와 같은 중요한 환경에서 오거나 이런 곳으로 전달될 수도 있는 사이버 보안 환경에서 매우 중요합니다.

성공적인 공공 부문 SIEM 구현을 위한 주요 고려 사항

SIEM 솔루션을 선택할 때는 데이터 소스 추가 빈도, 팀 규모, 현재 프로세스의 상태 등 수많은 사항을 고려해야 합니다. 더 일반적인 요인 외에도, 특히 공공 부문의 경우 다음 사항을 염두에 두는 것이 좋습니다. 

1) 과거 로그 검색 기능 

미국의 M-21-31과 같은 최근 지침은 드웰 시간이 긴 공격의 실제 이력을 조사할 수 있는 기능에 초점을 맞추고 있으며 기관이 로그를 더 오랫동안 보존하도록 요구하고 있습니다. (M-21-31에서는, 전체 패킷 캡처 데이터의 경우 72시간, 활성 저장 공간 데이터의 경우 12개월, 콜드 저장 공간 데이터의 경우 18개월에까지 이릅니다.) 이러한 요구사항은 이전에 규정된 것보다 훨씬 길기 때문에 올바른 SIEM 솔루션을 찾는 데 가장 중요한 역할을 해야 합니다. 기존 SIEM의 대부분은 30일 분량의 데이터만 보관하고 더 오래된 데이터는 강제로 콜드 저장 공간에 저장하므로 관리 비용이 많이 들고 번거롭습니다.

2) 규모에 맞는 속도 

조직에서 데이터 사용이 증가하고 있으며, 필연적으로 더욱 증가하게 됨에 따라, 속도 측면에서는 타협을 할 수 없습니다. 중요 업무용 데이터의 경우, 1밀리초마다 그 차이가 느껴집니다. 현재 사용 중인 데이터 소스로, SIEM 솔루션이 지금 얼마나 빠른지뿐만 아니라 향후 사용할 수 있는 데이터 양과 속도가 증가에 영향을 받을지 여부를 예측해 보세요. 또한 이 데이터를 빨리 검색할 수 없으면 여러분의 기관에서 팀 리소스를 낭비하게 됩니다. 대부분의 공공 부문 보안 팀은 SIEM에 아카이브를 복원할 여유가 없습니다. 이 경우, 검색 가능한 프로즌 티어가 필수적입니다.

3) 로그 저장 공간 요건 및 비용 

SIEM 공급자가 수수료를 어떻게 구조화하는지 눈여겨 보세요. 대부분의 레거시 SIEM 플랫폼은 사용 중인 일일 저장 공간 양에 따라 라이선싱 비용을 결정합니다. 이 요금제 모델은 최근 사이버 보안 의무로 인해 로그 수집이 크게 증가하고 있는 많은 공공 부문 기관에서 곧 관리할 수 없게 될 것입니다. 조직에 맞게 확장할 수 있는 유연한 솔루션을 찾으세요.

4) 온프레미스에서 또는 클라우드에서 

클라우드 및 온프레미스에서 솔루션 공급자가 어느 정도의 유연성을 제공하고 있는지 아는 것이 중요합니다. 일부 SIEM 솔루션은 클라우드에서만 사용할 수 있으며, 이는 온프레미스 솔루션이 필요한 또는 적어도 온프레미스 솔루션을 위한 옵션이 필요한 공공 부문 조직에 있어 이러한 솔루션을 포기할 수 밖에 없는 요인이 될 수 있습니다. 클라우드에 관심이 있으시면, 클라우드 기반 SIEM 솔루션이 FedRAMP와 같은 관련 정부 준수 의무 및 규정에 부합하는지 확인하세요. 

공공 부문을 위한 SIEM에 대해 자세히 알아보기

• 점검표 “SIEM을 강화하기 위해 필요한 5가지 징후” 읽어보기
• SIEM 구매자 가이드 다운로드